Confianza desde el Diseño, elemento clave para Internet de las Cosas

Por: Steve Olshansky, Gerente del Programa de Tecnología de Internet Society

Como hemos visto claramente en los últimos años, las protecciones de seguridad y privacidad inadecuadas en Internet de las Cosas (IoT) pueden tener impactos devastadores en los usuarios de Internet y en la infraestructura central. El ataque de denegación de servicio distribuido (DDoS) de Mirai de alto perfil en 2016 fue un ejemplo dramático de los efectos de la falta de seguridad en los dispositivos de IoT, y la mayoría de los minoristas retiraron de la venta los osos de peluche conectados a CloudPets después de que se reveló que millones de grabaciones de voz entre padres e hijos estuvieron expuestos. Pero las amenazas de estos dispositivos inseguros no desaparecen cuando se actualizan o retiran, ya que a menudo hay un gran número de ellos todavía en servicio, y aún vulnerables.

Debido a esto, Internet Society está especialmente enfocada en mejorar la seguridad y la privacidad del consumidor de IoT. Como área de rápido crecimiento, es especialmente vulnerable y ha sido explotada por actores maliciosos.

Por eso animamos a los fabricantes a adoptar Trust by Design.

“Trust by Design” es un término general que incluye Privacidad desde el Diseño y Seguridad desde el Diseño. Se trata de un componente esencial de un ecosistema de IoT saludable. Tiene implicaciones significativas más allá de IoT para la salud de Internet en su conjunto y de todos sus usuarios.

El concepto de Privacidad desde el Diseño fue desarrollado por la Dra. Ann Cavoukian en los años 90 en respuesta a los efectos crecientes y sistémicos de las Tecnologías de la Información y los sistemas de datos a gran escala. Desde entonces, se ha convertido en un concepto fundamental, que subyace en gran parte del trabajo sobre la protección de la privacidad que ha seguido. Hay 7 principios clave:

1. Proactivo no reactivo: preventivo no reparador
2. Privacidad como configuración predeterminada
3. Privacidad incrustada en el diseño
4. Funcionalidad completa: suma positiva, no suma cero
5. Seguridad de extremo a extremo: protección completa del ciclo de vida
6. Visibilidad y transparencia: mantenerlo abierto.
7. Respeto por la privacidad del usuario: manténgalo centrado en el usuario

Si bien los 7 principios son esenciales, hay uno en el que hacemos hincapié (especialmente con los fabricantes): la privacidad incorporada en el diseño.

“Las medidas de privacidad están integradas en el diseño y la arquitectura de los sistemas de TI y las prácticas comerciales. Estos no se atornillan como complementos, después del hecho. El resultado es que la privacidad se convierte en un componente esencial de la funcionalidad central que se entrega. La privacidad es, por lo tanto, parte integral del sistema, sin disminuir la funcionalidad."

Hay varias interpretaciones de Seguridad desde el Diseño. La fundación Open Web Application Security Project (OWASP) hace un buen trabajo explicando los principios fundamentales:

1. Minimizar la superficie de ataque.
2. Establecer valores predeterminados seguros
3. Principio del privilegio mínimo
4. Principio de defensa en profundidad
5. Fallar de forma segura
6. No confíes en los servicios
7. Separación de tareas
8. Evita la seguridad por la oscuridad.
9. Mantener la seguridad simple
10. Solucionar problemas de seguridad correctamente.

Creemos que se debe incluir la seguridad adecuada en todos los pasos del diseño y la arquitectura de los sistemas de IoT, no como una idea de último momento.

El Marco de Confianza para IoT de la Alianza por la Confianza en Línea (OTA, una iniciativa de Internet Society) tiene 40 principios clave que proporcionan un conjunto de pautas para los fabricantes a medida que diseñan y desarrollan productos y servicios, con la privacidad y la seguridad como una prioridad máxima. Desarrollado a través de un proceso colaborativo de múltiples partes interesadas impulsado por el consenso, este Marco de Confianza es único de dos maneras significativas:

• Tiene en cuenta los problemas del ciclo de vida asociados con los productos y servicios de IoT.
• Aborda todo el ecosistema, de manera integral, incluidos dispositivos / sensores, aplicaciones móviles y servicios de back-end. La mayoría de los marcos se centran sólo en los dispositivos, pero un sistema es tan fuerte como su enlace más débil.

Hay mucho que todos podemos hacer.

En particular, es importante que:

• Los fabricantes tomen medidas afirmativas para mejorar la seguridad y privacidad de los dispositivos que producen.
• Los minoristas entiendan el papel que desempeñan y el impacto que pueden tener cuando toman en cuenta estos factores al decidir qué productos vender.
• Los consumidores se informen a sí mismos, utilizando fuentes confiables para comprender los aspectos de seguridad y privacidad de los dispositivos de IoT que están considerando adquirir o que ya están utilizando.
• Los responsables de la formulación de políticas y los reguladores analicen las funciones que pueden desempeñar y trabajen en conjunto con otros actores clave para lograr mejores resultados.

Conoce más sobre Trust by Design y lo que pueden hacer los fabricantes, minoristas, consumidores y formuladores de políticas:

• Seguridad de IoT para responsables de políticas
• La economía de la seguridad de los productos y servicios de IoT de categoría de consumidor
• IoT Trust Framework
• Este Día de San Valentín, todo lo que queremos son productos que cumplan con los estándares mínimos de seguridad (Internet Society, Consumers International y Mozilla)
• Estándares mínimos para abordar la seguridad de IoT (una carta abierta a minoristas de Internet Society, Consumers International, Mozilla y otros)
• Privacidad de IoT para los responsables de formular políticas (próximamente, consulte esta página)